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Di. folgenden Ang-ben .ind den vom Anmelder eingereichten 'TTTT^^ einer 

Verfahren zum Schutz vor Angriffen auf den Authentifizierungsalgorrthmus bzw. den Gehe.msch.usse. 
Chipkarte 

Die Erfindung betrifft ein Verfahren zum Schutz vor An- 
qriffen auf den Authentifizierungsalgorithmus bzw. den 
Geheimschlussel einer Chipkarte (SIM) in einem Netz- 
werk zur Nachrichtenubertragung, vorzugsweise in ei- 
nem GSM-Netzwerk, bei dem in einer Chipkarte (SIM) ein 
Algorithmus sowie ein geheimer Schlussel gespeichert 
ist wobei zur Authentifizierung zunachst vom Netzwerk 
Oder einer Netzwerkkomponente eine Zufallszahl an die 
Chipkarte ubertragen wird, in der Chipkarte mittels des 
Algorithmus, der Zufallszahl und des geheimen Schlus- 
sels ein Antwortsignal erzeugt wird f das an das Netzwerk 
bzw. die Netzwerkkomponente ubermittelt wird, urn dort 
die Authentizitat der Karte zu uberprufen. GemaS der Er- 
findung ist ein Zahler zur Aufzeichnung der Anzahl der 
insgesamt mit der Karte durchgefuhrten Authentifikati- 
onsvorgange vorgesehen. Es wird weiterhin ein oberer 
Grenzwert fur die Anzahl der insgesamt mit der Karte 
durchzufuhrenden Authentifikationsvorgange vorgege- 
ben und bei jeder Authentication der Zahler ernont und 
mit dem vorgegebenen oberen Grenzwert verglichen. 
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Beschreibung 



Die Erfindung betrifft ein Verfahren zum Schutz vor An- 
griffen auf den Authentifizierungsalgorithmus bzw. den Ge- 
heimschliissel einer Chipkarte (SIM) in einem Netzweric zur 
Nachrichtenubertragung, vorzugsweise in emem GSM- 
Netzwerk, nach dem Oberbegriff des Anspruchs 1. 

Bei GSM-Systemen ist es bekannt, daB sich zum Ge- 
brauch der Chipkarte (Subscriber Identity Module SIM) zu- 
nachst der Benutzer mittels einer personlichen IdenUfikati- 
onsnummer (PIN) als zur Benutzung berechtigt ausweisen 
muB Um an dieser Stelle MiBbrauch zu vermeiden, ist es fur 
die PIN-Eingabe bekannt, einen Fehlerzahler vorzusehen, 
der nach Oberschreiten einer zulassigen Anzahl von Fehl- 
versuchen den weiteren Gebrauch der Karte unterbmdet. 

Eine weitere, systemrelevante SicherheitsmaBnahme be- 
steht in der Authentisierung der Karte gegenuber dem Mo- 
bilfunknetz. Zu diesem Zweck ist in der Karte eine von au- 
Ben nicht zugangliche Gchcimnummcr und em cbenfaL s 
von auBen nicht zuganglicher, gegebenenfaUs geheimer Al- 
gorithmus abgelegt. Zur Authentifizierung wird I vom Netz- 
werk bzw. einer Netzwerkkomponente eine Zufallszanl er- 
zeugt, die der Karte mitgeteiU wird. Die Karte berechnet aus 
dieser Zufallszanl und dem geheimen Schlussel mittels des 
Algorithmus eine Signalantwort, welche dem Netzwerk mit- 
geteilt wird. Diese Antwort wird im Netzwerk analysiert 
und es wird, bei positivem Ergebnis, Zugang zu den Netz- 
werkfunktionen erlaubt. 

Aus der deutschen Patentschrift DE43 39 460 CI ist ein 
Verfahren zur Authentifizierung eines Systemteils durch em 
anderes Systemteil eines Informationsubertragungssystems 
nach dem Challenge and Response-Prinzip bekannt Die 
dort beschriebene Datentrageranordnung ist nut einem Wer- 
tespeicher versehen, dem eine KontroUeinrichtung zugeord- 
net ist. Weiterhin ist ein nicht fluchtiger, begrenzbarer Feh- 
lerzahler sowie cine Sperrvorrichtung vorgesehen. Bei dem 
Authentifizierungsverfahren ist die tragbare Datentrageran- 
ordnung zunachst gesperrt und wird erst nach Verandern des 
Fehlerzahlerstandes freigegeben. Von dem Endgerat werden 
daraufhin Zufailsdaten zur tragbaren Datentrageranordnung 
ubertragen. Diese Daten werden sowohl im Endgerat als 
auch in der tragbaren Datentrageranordnung durch emen ge- 
heimen Algorithmus und geheime Schlusseldaten zu Au- 
thentifikationsparametem verarbeitet. Die im Endgerat er- 
zeugten Authentifikationsparameter werden im weiteren zur 
tragbaren Datentrageranordnung abermittelt und nut den 
dort berechneten Authentifikationsparametern verglichen. 
Bei Obereinstimmung wird der Fehlerzahler ruckgesetzL 

Bei dem bekannten Stand der Technik wird also bei jedem 
Bearbeitungsvorgang der Fehlerzahler erhoht und bei er- 
foigreicher Beendigung des Bearbeitungsverfahrens riickge- 
setzt. Bei Oberschreiten eines vorgegebenen Grenzwertes 
fur die Anzahl der Fehlversuche werden weitere Authentifi- 
zierungsversuche nicht zugelassen. 

Bei der Authentifizierung im GSM-Netz besteht das Pro- 
blem, daB die Karte nicht liber eine fehlgeschlagene Authen- 
tifizierung informiert wird, sondern es wird lediglich im Sy- 
stem eine Oberprilfung durchgefuhrt, die entweder zum Ab- 
bruch der Verbindung oder zur Zulassung des Teilnehmers 
zu den Netzdiensten ruhrt. 

Auch in einem derartigen Netz besteht die Gefahr, daB 
durch Angriffe auf den Algorithmus, der zur AuthenUfizie- 
rung verwendet wird, das Netzwerk beispielsweise in einem 
Computer simuliert werden kann, indem ausgewahlte "Zu- 
faUszahlen" nach dem standardisierten ProtokoU an die 
SIM-Karte ubermittelt werden und daraus bei mehrfachen 
Authentifizierungsversuchen derGeheimschiUssel der Chip- 
karte ermittelt werden kann. Nach Ermittlung des geheimen 



Schiussels und bei Bekanntsein des Algorithmus konnen 
wcsentlichc Funktionselemente der Karte simuliert bzw. du- 
pliziert werden. . 

Es ist deshalb Aufgabe der Erfindung, ein sicheres Ver- 
5 fahren zum Schutz vor Angriffen auf den Authentifizie- 
rungsalgorithmus bzw. den Geheimschlussel einer Chip- 
karte in einem Nachrichtensystem anzugeben, bei dem eine 
sichere Ruckmeldung uber die Authentifizierung an die teil- 
nehmende Chipkarte nicht erfolgt 
to Diese Aufgabe wird gemaB der Erfindung ausgehend von 
den Merkmalen des Oberbegriffs des Anspruchs 1 durch die 
kennzeichnenden Merkmale des Anspruchs 1 gelosL 

Vorteilhafte Ausgestaltungen der Erfindung sind in den 
abhangigen AnsprUchen angegeben. 
15 GemaB der Erfindung wird vorgeschiagen, die beliebig 
haufige Wiederholung des Identifizierungsvorgangs dadurch 
zu unierbinden, daB in der Karte oder im Netzwerk ein Zah- 
ler vorgesehen wird, welcher die Anzahl der insgesamt 
durchgefuhrten Authentifizierungsversuchefesthalt. Derak- 
20 tuelle Zahlerstand wird bei jeder Authentifizierung nut ei- 
nem vorgebbaren oberen Grenzwert vergUchen. Durch die 
Zahlung der Anzahl der insgesamt durchgefuhrten Authen- 
tifikationsversuche wird in vorteilhafter Weise zum emen 
erreicht, daB die fehlende Ruckmeldung des Authentifizie- 
25 rungsergebnisses nicht zwangslaufig in der Nichtanwend- 
barkeit der Vorgabe einer Obergrenze fur die maximal zulas- 
sige Anzahl der Authentifizierungsversuche endet und zum 
anderen kann der Zahler, da ein Rucksetzen nicht erlaubt ist, 
durch ein unzulassiges Rucksetzsignal nicht auBer Kraft ge- 

30 setzt werden. _ fi 

GemaB einer vorteilhaften Ausfuhrungsform der Brhn- 
dung liegt der vorgegebene obere Grenzwert hoher als die 
geschatzte Anzahl der mit der Karte tibUcherweise auszu- 
tlihrenden Authentifikationsvorgange. Zur Auslegung der 
35 oberen Grenze ist deshalb jeweils an Hand der Schl^sel- 
lange und der sonstigen Randbedingungen eine Rjsikoab- 
schatzung durchzufiihren, wobei bei vertretbarem Risiko die 
obere Grenze moglichst uber der Anzahl der zu erwartenden 
regularen Authentifikationen anzusetzen ist, um nicht eine 
40 fur den Benutzer unangenehme vorzeitige Sperrung der 
Karte in Kauf zu nehmen. Die vorgegebene obere Grenze 
sollte uberdies unter der zu erwartenden Anzahl der Versu- 
che liegen, die notwendig sind, um den geheimen Schlussel 
herauszufinden. , 
45 Eine weitere vorteilhafte Ausgestaltung der Erfindung 
sieht vor, daB der Zahler in der Chipkarte realisiert ist und 
der Vergleich mit dem oberen Grenzwert in der Chipkarte 
ausgefuhrt wird. Damit kann bei einer Simulation des Net- 
zes durch einen Computer zumindest die Simulation der 
50 Zahlerstande vermieden werden. 

Ffir den Fall, daB beispielsweise aufgrund mangelnden 
Speicherplatzes oder sonstiger Umstande eine Realisierung 
desZahlers auf der Karte nicht mogUch ist, kann die Reali- 
sierung auch im Netz erfolgen, wobei vorzugsweise die 
55 Zahlerdaten vor jeder Authentifizierung verschlusselt an die 
Karte ubertragen werden. 

GemaB einer weiteren vorteilhaften Ausgestaltung der Er- 
findung werden bei Uberschreiten des oberen Grenzwertes 
einzelne oder alle Funktionen der Chipkarte blockiert, so 
60 daB die Funktionsfahigkeit der Karte zumindest stark einge- 

schrankt wird. . . . 

Altemativ oder zusatzlich kann bei Uberschreiten des 
Grenzwertes an das Netzwerk oder eine entsprechende 
Netzwerkkomponente eine Information UbenrutteU werden, 
65 wodurch im Netzwerk die Funktionen der Karte (SIM) zu- 
mindest Uberwacht werden konnen. Mit cheser InformaUon 
konnen femer seitens des Netzwerkes bzw. der Netzwerk- 
komponente einzelne oder alle Funkdonen der Karte ge- 
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sperrt werden. 

Es ist ferncr vortcilhaft, in aUcn ATR-Bcnchtcn dcr Karte 
auf das Oberschreiten der oberen Grenze hinzuweisen. 

Insbesondere fur den Fall, daB die obere Grenze fur die 
zulassige Anzahl an Authentifizierungsverfahren mit hoher 
Wahrscheinhchkeit kleiner als die zu erwartende regulare 
Anzahl von Authentifizierungen ist, ist es vorteilhaft, einen 
altemativen geheimen Schlussel in der Karte abzulegen. Bei 
Erreichen der oberen Grenze kann somit auf einen neuen 
Geheimschliissei umgesteUt werden, wobei hierbei eben- 
falls ein neuer Zahler initiiert wird bzw. der Zahler ruckge- 
set /ft wird. 

Neben dem Umschalten auf einen weiteren geheimen 
Schlussel, kann ebenfalls eine neue 1MSI selektiert werden, 
so daB nach Erreichen des oberen Grenzwertes auf ein neues 
IMSI/SchlUssel-Paar zugegriffen wird. 

Insbesondere fur SDVTs, die iiber eine eigene Energiever- 
sorgung und damit uber eine interne Zeitmessung verrugen 
konnen, kann es auch vorteilhaft scin, nach eincr langeren 
Zeitdauer den Zahler zyklisch riickzusetzen. 

Es kann weiterhin neben dem oberen Grenzwert ein zwei- 
ter Grenzwert vorgesehen werden, der unter dem oberen 
Grenzwert liegt. Darnit ist die Mogtichkeit gegeben, dem 
Netzwerk bereits vor Erreichen des oberen Grenzwertes 
eine Information zukommen zu lassen, die es dem Netz- 
werkbetreiber erlaubt, beispielsweise dem Benutzer recht- 
zeitig eine neue Karte auszustellen, wenn die Funktionen 
der im Gebrauch befindiichen aufgrund der Uberschreitung 
der zulassigen Anzahl an Authentifikationen in absehbarer 
Zeit gesperrt werden. 

Im folgenden wird die Erfindung beispielhaft anhand ei- 
nes Ausfuhrungsbeispiels gemaB den Fig. 1 und 2 beschrie- 
ben 

Fig. 1 zeigt den Ablauf der kryptographischen Funktio- 
nen des SIM im GSM-Netz. 

Fig. 2 zeigt die fur die Erfindung wesentlichen Elcmente 

des SIM. ^ 
In Fig. 1 ist der Datenaustausch zwischen der Chipkarte 
(SIM) und dem Netzwerk uber die LuftschnittsteUe darge- 

stellt. L1 . L 

Bei der Fig. 1 wird vorausgesetzt, daB der ubhche Vor- 
gang der PIN-Verifizierung abgeschlossen ist. Im AnschluB 
an diese PIN-Verifizierung wird von mobilen Einheit, in der 
sich die Karte befindet, eine Nachricht an das Netzwerk ge- 
sendet, welche die IMSI (international mobile subscriber 
identity) bzw. TMSI (temporary mobile subscriber identity) 
enthalt. Aus der IMSI bzw. TMSI wird im Netzwerk nach 
einer vorgegebenen Funktion oder mittels einer Tabelle der 
geheime Schlussel IQ ermittelt, der in der Chipkarte (SIM) 
in einem nicht zuganglichen Speicherbereich abgelegt ist. 
Der geheime SchlUssel wird fur die spStere Verifizierung des 
Authentifikationsvorganges benotigt 

Vom Netzwerk wird der Authentifizierungsvorgang m- 
itiaUsiert, indem eine ZufaUszahl (RAND) berechnet wird, 
die uber die LuftschnittsteUe in die Chipkarte (SIM) ubertra- 
gen wird. , . 

In der Chipkarte wird daraufhin mittels einer Authentisie- 
rungsfunktion aus dem geheimen SchlUssel Ki und der Zu- 
faUszahl RAND das Authentisierungsergebnis SRES gebil- 
det, das uber die LuftschnittsteUe an das Netzwerk ubertra- 
gen wird. Im Netzwerk wird ebenfaUs mittels der geheimen 
Funktion und der ZufaUszahl RAND sowie dem geheimen 
Schlussel Kt ein Authentisierungsergebnis SRES' gebildeL 
Im Netzwerk findet weiterhin ein Vergleich der Authentisie- 
rungsergebnisse SRES und SRES' statt, wobei bei Gieich- 
heit der Authentifizierungsvorgang erfolgreich abgeschlos- 
sen wird, wahrend bei Ungleichheit ein Abbruch der Verbm- 
dung vorgenommen wird, da stch die Karte des Teilnehmers 



nicht authentisiert hat. 

In dcr Chipkarte SIM wird gemaB der Erfindung entweder 
vor Oder nach der Authentisierung der Zahlerstand ernes 
Authentifikations-Zahlers erhoht. Im AnschluB an die Zan- 
lererhohurig wird in der Chipkarte SIM ein Vergleich des ak- 
tuellen Zahlerstandes mit dem oberen Grenzwert Z^, wel- 
cher die maximal zulassige Anzahl der Authentifizierungs- 
vorgange angibt, vergUchen. Fiir den FaU, daB Z < Z^ ist, 
k6nnen im Netzwerk alle Dienste in Anspruch genommen 
werden, fur die der Benutzer autorisiert ist. Fiir den Fall, daB 
der aktuelle Zahlerstand Z den oberen Grenzwert Z^ er- 
reicht oder Uberschritten hat, kann entweder chipkartensei- 
tig eine Sperrung SP der Chipkarte und damit der Netzwerk- 
funktionen eingeleitet werden oder es kann alteraativ oder 
zusatzUch eine Nachricht Mess an das Netzwerk ubermittelt 
werden, woraufhin im Netzwerk verschiedene Aktionen 
eingeleitet werden kannen, wie beispielsweise die Uberer- 
wachung der SIM-Aktivitaten, das Nichtzulassen bestimm- 
ter Dienste im Netzwerk, oder die Sperrung der gesamten 
Dienste, die der Benutzer UbUcherweise nach erfolgreicner 
Authentifizierung in Anspruch nehmen kann. 

Die Fig. 2 zeigt ein Ausfuhrungsbeispiel einer Chipkarte 
SIM die eine SchnittsteUe S zum Datenaustausch mit einem 
Mobilfunktelefon aufweist sowie einen Mikroprozessor pp, 
der mit einem Zahler Z und einem Speicher M Mg verbun- 
den ist Der Zahler Z kann im wesentlichen als Hardware- 
zahler ausgebildet sein oder er ist als Softwarezahler pro- 
grammiert. Der Speicher ist unterteilt in den ublichen Spei- 
cherbereich M, in dem Daten ausgelesen und eingeschneben 
30 werden konnen und in den geheimen Speicherbereich Mg, in 
dem zumindest der geheime Schlussel Ki sowie der Authen- 
tisierungsalgorithmus abgelegt sind. Wenn uber die Schnitt- 
steUe S die ZufaUszahl RAND erhalten wird, initiiert der 
Nfikroprozessor uP zum einen die Erh6hung des Zahlers Z 
sowie den Vergleich des aktueUen Zahlerstands mit der obe- 
ren Grenze Z^ und zum anderen wird aus dem geheimen 
Speicherbereich M g der geheime SchlUssel Ki sowie der AL- 
gorithmus geladen, um die Authentifizierungs-Berechnung 
durchzufuhren und dasErgebnis SRES zu erhalten. 
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Patentanspriiche 

1. Verfahren zum Schutz vor Angriffen auf den Au- 
thentifizierungsalgorithmus bzw. den Geheimschlussel 
(Kd einer Chipkarte (SIM) in einem Netzwerk zur 
Nachrichtenubertragung, vorzugsweise in einem 
GSM-Netzwerk, bei dem in einer Chipkarte (SIM) em 
Algorithmus sowie ein geheimer SchlUssel (Ki) gespei- 
chert ist, wobei zur Authentifizierung 

- zunachst vom Netzwerk oder einer Netzwerk- 
komponente eine ZufaUszahl (RAND) an die 
Chipkarte Qbertragen wird, 

- in der Chipkarte mittels des Algorithmus, der 
ZufaUszahl (RAND) und des geheimen Schlussels 
(Ki) ein Antwortsignal (SRES) erzeugt wird, das 
an das Netzwerk bzw. die Netzwerkkomponente 
ubermittelt wird, um dort die Authentizitat der 
Karte (SIM) zu Uberpriifen, 

dadurch gekennzeichnet, daB 

- ein Zahler (Z) zur Aufzeichnung der Anzahl der 
insgesamt mit der Karte durchgefuhrten Authentt- 
fikationsvorgange vorgesehen ist, 

- ein oberer Grenzwert (Z^) fur die Anzahl der 
insgesamt mit der Karte durchzufuhrenden Au- 
thentifikationsvorgange vorgegeben wird, und 

- bei jeder Authentifikation der Zahler (Z) erhoht 
und mit dem vorgegebenen oberen Grenzwert 
(Zmw) vergUchen wird. 
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2. Verfahren nach Anspruch 1, daduruh gekennzeich- 
net, daB dcr obere Grcnzwert (Zmsj) hdhcr liegt als die 
geschatzte, mit einer Karte durchgefuhrte Anzahl an 
Authentifikationen und niedriger liegt als die zu erwar- 
tende Anzahl der fur die Errnittlung des geheimen 5 
Schlussels notwendigen Authentifizierongsvoigange. 

3. Verfahren nach Anspruch 1 oder 2, dadurch gekenn- 
zeichnet, daB der Zahler (Z) in der Chipkarte imple- 
mentiert ist und der Vergleich des aktuellen Zahlerstan- 
des mit dem oberen Grenzwert (Z^) in der Chipkarte 10 
durchgefuhrt wird. 

4. Verfahren nach Anspruch 1 oder 2, dadurch gekenn- 
zeichnet, daB der Zahler in einer Netzwerkkomponente 
implementiert ist und der Vergleich des aktuellen Zah- 
lerstandes mit dem oberen Grenzwert (Zmax) in einer 15 
Netzwerkkomponente durchgefuhrt wird. 

5. Verfahren nach einem der AnsprUche 1 bis 4, da- 
durch gekennzeichnet, daB bei Oberschreiten des obe- 
ren Grenzwertes (Z,™*) einzclnc oder alle Funktionen 
der Chipkarte (SIM) blockiert werden. 20 

6. Verfahren nach einem der Anspruche 1 bis 4, da- 
durch gekennzeichnet, daB bei tJberschreiten des vor- 
gegebenen oberen Grenzwertes (Z^) an das Netz- 
werk oder eine Netzwerkkomponente eine Information 
ubermittelt wird und das Netzwerk infolge dieser Infor- 25 
mauon die Aktivitaten der Chipkarte (SIM) uberwacht. 

7. Verfahren nach Anspruch 6, dadurch gekennzeich- 
net, daB das Netzwerk eine Anfrage initiiert, gemaB der 
die Funktionen der Chipkarte geloscht oder einge- 
schrankt werden. . 30 

8. Verfahren nach einem der Anspruche 1 bis 4, da- 
durch gekennzeichnet, daB nach Erreichen des oberen 
Grenzwertes (Z^ in alien Answer to Reset-(ATR- 
)Berichten ein Hinweis erzeugt wird, daB der ZShier 
seinen Hochststand erreicht hat 35 

9. Verfahren nach einem der vorhergehenden Anspru- 
che 1 bis 8, dadurch gekennzeichnet, daB bei Erreichen 
des oberen Grenzwertes (Z^ des Zahlers das Netz- 
werk oder die Chipkarte (SIM) das Umschalten auf ei 
nen alternativen, in der Chipkarte abgelegten, Geheim 
schlussel (KO initiiert. 

10. Verfahren nach einem oder mehreren der Anspru- 
che 1 bis 9, dadurch gekennzeichnet, daB nach Errei- 
chen des Hochststandes des Zahlers (Z) auf ein alterna- 
tives IMSI/geheimes Schlussel-Paar umgestellt wird. 

11. Verfahren nach einem der Anspruche 1 bis 10, da- 
durch gekennzeichnet, daB der Authentifikations-Zah- 
ler nach einer vorgegebenen Zeit zuriickgesetzt wird. 

12. Verfahren nach einem der Anspruche 1 bis 11, da- 
durch gekennzeichnet, daB neben dem oberen Grenz- 
wert (Zjnax) ein zweiter Grenzwert vorgegeben wird, 
der unterhalb des oberen Grenzwertes liegt, und bei 
dessen Erreichen ein Signal an das Netzwerk gesendet 
wird, in dem auf das nahende Erreichen des oberen 
Grenzwertes (Zmax) hingewiesen wird. 

Hierzu 1 Seite(n) Zeichnungen 



40 



45 



50 



55 



60 



ZEICHNUNGEN SEITE 1 



.{ 

Nummer: 
Int. CI. 6 : 
Offenlegungstag: 



DE1S818:: • 

H04L 9/32 

4. November 1999 



SIM 



Ki 



RAND i SRES 




nein 



Fig.l 




Netzwerk 



Ki=f(IMSI) 



Ki 



RAND 1 SRES' 




□52 




902 044/269 



